在過去的2018年，云計算領域中的安全事故頻發(fā)，“云安全”讓人們不可避免的對云計算懷抱著質疑的態(tài)度，既想得到云計算帶來的巨大收益，又對云安全事故會帶來的巨大傷害心存隱憂。隨著全球云計算市場的快速擴張，云安全正在面臨巨大的挑戰(zhàn)。如何做好云安全？如何滿足企業(yè)安全需求？京東云安全專家從架構、運維、產品、服務四個方面，對京東云安全體系進行了深入講解。

一、架構：安全的基礎

首先，京東云安全架構在存儲方面給租戶提供了AES256加密的存儲產品，如云硬盤、數(shù)據(jù)庫存儲等。同時，所有的靜態(tài)數(shù)據(jù)加密最終使用的都是密鑰管理服務（Key Management Service），用KMS來保證用戶主密鑰的安全，服務于數(shù)據(jù)全生命周期管理，滿足用戶數(shù)據(jù)安全監(jiān)管合規(guī)需求。KMS最核心的密鑰控制是基于硬件的，無法通過任何軟件手段來偽造或者竊取。

在網絡層面，除了海量DDoS防護能力，云 WAF這些基本功能之外，京東云安全有自己的特色：用訪問控制檢測和過濾網絡層數(shù)據(jù)和流量的方式，實現(xiàn)云上邏輯隔離的網絡環(huán)境，通過專線和VPN，為用戶建立云上業(yè)務與本地業(yè)務間互聯(lián)的安全壁壘。此外，京東云會在網絡與業(yè)務的邊界構建縱深防御與響應機制，比如設置邊界防火墻、安全組隔離與訪問控制、網絡入侵檢測與響應、異常網絡流量分析、安全蜜罐等一系列的隔離和控制措施來保障京東云網絡的安全，虛擬主機，降低京東云網絡的整體風險等級。

在主機和系統(tǒng)應用服務方面，京東云提供了服務與服務間相互調用的安全機制，每一個服務都有自己的身份，在相互調用時，會對其身份進行合法性檢測，確認該服務主體是否有權限調用其他的應用服務。在確保服務間調用的安全可信之后，即使內網遭到入侵，入侵者也無法獲得數(shù)據(jù)。此外，京東云使用類似Docker的輕量級云主機安全管理機制，實現(xiàn)操作系統(tǒng)安全自動化運維，主機風險可視化，入侵行為精準實時防御和告警。

二、運維：嚴格的隔離、控制權限

京東云對運維人員的權限采取嚴格的隔離和控制：只允許擁有系統(tǒng)權限的人進行運維管理工作。在這個過程中如果發(fā)生意外，可以提取、分析系統(tǒng)日志，快速定位并解決問題。

隨著歐盟、北美對個人隱私、個人敏感數(shù)據(jù)的法律監(jiān)管力度的加強，國內也在逐步的提升這方面的監(jiān)管力度，所以，京東云針對個人數(shù)據(jù)隱私的保護已構建了完善的措施。比如對于涉及用戶個人隱私數(shù)據(jù)，京東云從存儲、傳輸、使用和最終銷毀都有完善的控制體系，保證個人隱私數(shù)據(jù)在這個過程中不會被濫用。

此外，虛擬主機，京東的白帽子團隊，會幫助京東云安全團隊發(fā)現(xiàn)一些安全的潛在漏洞。同時，一些第三方的信息來源也會幫助京東云及早發(fā)現(xiàn)安全風險，然后即刻啟動安全防護預案，從根源入手，把安全風險控制住。

三、產品：豐富且定制化

京東云的安全產品表面看起來與其他云廠商并沒有多大區(qū)別，但是有著自己的特點：

第一，京東云同時提供應用安全網關(VPC-WAF)和Web應用防火墻（云WAF）兩種WAF產品形態(tài)，滿足不同客戶需求，提供多樣化的Web安全解決方案。目前，京東云是國內唯一支持部署VPC-WAF的云服務商。

第二，無論是DDoS、WAF，還是態(tài)勢感知、應用安全網關等，京東云安全團隊都會根據(jù)客戶的業(yè)務場景，比如網站，語音服務，視頻服務等進行定制化開發(fā)。

第三，一直以來，京東云為京東商城持續(xù)提供技術支持與業(yè)務安全保障，通過歷年的6.18，雙十一這類非常具有挑戰(zhàn)性的大型促銷活動的經驗積累與技術沉淀，京東云安全擁有了寶貴的實戰(zhàn)經驗和同類業(yè)務場景的安全最佳實踐能力，基于此，京東云完全能夠為客戶創(chuàng)造更多價值。

第四，京東云所有的云安全產品都有相應的私有云版本，支持在客戶本地的IDC中完成部署和交付，并能夠與云上的安全產品進行聯(lián)動。目前，京東云大部分安全產品均已擁有本地化部署和硬件交付形態(tài)，能夠完全適配不同行業(yè)客戶業(yè)務場景的需求。此外，若客戶本地IDC的安全防護能力有限，就通過與云端聯(lián)動采取一鍵上云的操作，利用云端海量的帶寬、數(shù)據(jù)、資產信譽、威脅情報實現(xiàn)大型DDoS攻擊防護、未知威脅檢測、0 days漏洞檢測與響應、網絡安全態(tài)勢感知和預測等。